|
Log-Analyse und Auswertung: About dreck :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.02.2005, 17:26 | #1 |
| About dreck :( Hallo an alle . Ich endschuldige mich mal das ich hier einen Fread aufmache , habe aber probleme mit diesen sch... About blank . Ich glaube ich habe euer Forum 10 mal durchgelesen , und 100 sachen probiert aber nichts hat geholfen Entweder ich bin zu Doof oder ich weiß nicht . Ich habe mal da einen auszug : Logfile of HijackThis v1.99.0 Scan saved at 17:09:12, on 04.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\CTFMON32.EXE C:\WINDOWS\System32\CSRSSU.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PCCGUIDE.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - Global Startup: Adobe Gamma Loader.lnk = ? O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe was gehört hier weg ? Ich hoffe jemand kann mir helfen . ich lösche paar sachen aber die kommen immer wieder usw.... Ich bedanke mich jetzt schon . Ich hoffe es stört keinen das ich hier das gepostet habe . MfG Daniel |
04.02.2005, 17:33 | #2 |
| About dreck :( Du hast den auf dem System:http://www.sophos.de/virusinfo/analy...ojiefeatr.html den auch http://www.sophos.de/virusinfo/analyses/trojbizexh.html
__________________Es wäre besser,wenn du es neu aufsetzt,und zwar nach der Anleitung hier: http://www.trojaner-board.de/showthread.php?t=12154 Gruss |
04.02.2005, 17:50 | #3 |
Administrator, a.D. | About dreck :( @ HerrKautz
__________________Wie kommst du auf diese beiden Trojaner? @ *Deni* Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\CTFMON32.EXE C:\WINDOWS\System32\CSRSSU.EXE
__________________ |
04.02.2005, 17:57 | #4 | |
| About dreck :(Zitat:
Siehste dann gleich Btw in meinen Augen nicht die beiden einzigsten Prozesse... |
04.02.2005, 18:22 | #5 | |
| About dreck :(Zitat:
------------------------------------------- Service load: 0% 100% File: CTFMON32.EXE Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.18 seconds taken) Avast No viruses found (1.56 seconds taken) AVG Antivirus No viruses found (0.89 seconds taken) BitDefender No viruses found (0.36 seconds taken) ClamAV No viruses found (0.44 seconds taken) Dr.Web No viruses found (0.55 seconds taken) F-Prot Antivirus No viruses found (0.10 seconds taken) Fortinet No viruses found (0.50 seconds taken) Kaspersky Anti-Virus No viruses found (0.67 seconds taken) mks_vir No viruses found (0.31 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.50 seconds taken) Norman Virus Control No viruses found (1.09 seconds taken) ---------------- C:\WINDOWS\System32\CSRSSU.EXE[/QUOTE] das kann ich nicht durchsuchen ^^ da kommt diese meldung : The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file |
04.02.2005, 18:24 | #6 |
| About dreck :( Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor http://www.trojaner-board.de/42731-escan-anleitung.html Bin mir ziemlich sicher das es sich bei den von mir o.g Trojas handelt vermutlich auch noch was anderes... Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Gruss |
04.02.2005, 18:46 | #7 |
Gast | About dreck :( Schick die Dateien C:\WINDOWS\System32\CTFMON32.EXE C:\WINDOWS\System32\CSRSSU.EXE an partytime-germany.ice@web.de und warte die Antwort ab. |
04.02.2005, 20:32 | #8 | |
| About dreck :(Zitat:
Hab ich gemacht hat ja ne stunde gedauert fast aber naja 28 gefundene daten die inf, sind OMG ^^ hier das hab ich aus der liste rausnehmen können : Fri Feb 04 18:48:59 2005 => File C:\WINDOWS\SHLPUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 18:49:00 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken. Fri Feb 04 18:50:58 2005 => File C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Fri Feb 04 18:51:39 2005 => File C:\DOKUME~1\Daniel\LOKALE~1\TEMPOR~1\Content.IE5\4LQ5MH89\index[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Fri Feb 04 18:53:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Fri Feb 04 18:53:57 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LQ5MH89\index[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Fri Feb 04 19:03:32 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP21\A0013347.exe infected by "Net-Worm.Win32.Maslan.b" Virus. Action Taken: No Action Taken. Fri Feb 04 19:03:33 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP21\A0014300.dll infected by "Trojan.Win32.StartPage.uh" Virus. Action Taken: No Action Taken. Fri Feb 04 19:03:40 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP22\A0018307.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:03:42 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP22\A0018333.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:03:45 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP23\A0018358.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:11:52 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP28\A0022715.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:11:57 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP28\A0026357.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:11:58 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP28\A0026372.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:38 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP31\A0026379.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:40 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP32\A0026383.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:42 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP32\A0028357.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:44 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP32\A0028387.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:45 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP32\A0029387.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:47 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP33\A0029402.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:51 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP33\A0029447.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:12:51 2005 => File C:\System Volume Information\_restore{EEDADF7C-BBF0-44B1-BFE6-2F6B76EEAC34}\RP33\A0029458.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:39:43 2005 => File C:\WINDOWS\SHLPUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Fri Feb 04 19:44:02 2005 => File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken. Fri Feb 04 19:49:01 2005 => Total Disinfected Files: 0 <---- ^^ Ich hoffe mir kann man noch helfen ^^ Schaut das nur schlimm aus oder ist das echt schlimm ? Noch mal danke an alle die mir helfen . MfG Daniel |
04.02.2005, 20:39 | #9 |
| About dreck :( Hab mich da zwar in der Kennung vertan,aber es ist meiner Meinung nach Format c: angesagt,wie ich es bereits geschrieben habe!Man hätte sich die Zeit imho sparen können! Gruss |
04.02.2005, 20:55 | #10 |
| About dreck :( Ok dan wird mal Formati. Jetzt ne frage : wen ich das mache gibts da ein gutes Programm was ich vorher saugen kann und auf festplatte d speichern könnte das ich kein virus mer bekomme , wen ich ins netz gehe ? MfG Daniel |
04.02.2005, 20:56 | #11 | |
| About dreck :(Zitat:
Hier http://www.trojaner-board.de/showthread.php?t=12154 ist alles beschreiben,halte dich daran! Gruss |
04.02.2005, 20:58 | #12 |
| About dreck :( Danke HerrKautz . Werd das jetzt mal durchgehen. MfG Daniel |
04.02.2005, 21:01 | #13 | |
Administrator, a.D. | About dreck :(Zitat:
SCNR |
04.02.2005, 21:04 | #14 | |
| About dreck :(Zitat:
Dir auch ein Dickes Danke Cidre . Echt nette Leute hier MfG Daniel |
Themen zu About dreck :( |
.inf, about blank, adobe, bho, central, enigma, explorer, firewall, helfen, hijack, hijackthis, icq, immer wieder, internet, internet explorer, internet security, messenger, microsoft, msn messenger, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, security, skype.exe, software, spyware, system, system32, temp, trend micro, windows, windows messenger, windows xp |